Aguas turbias: cómo los piratas informáticos de MuddyWater atacaron a un fabricante turco de electrónica militar

Los piratas informáticos progubernamentales iraníes tienen grandes problemas. A lo largo de la primavera, personas no identificadas publicaron "ciruelas secretas" en Telegram, información sobre los grupos APT asociados con el gobierno iraní, OilRig y MuddyWater , sus herramientas, víctimas, conexiones. Pero no sobre todos. En abril, los especialistas del Grupo IB descubrieron una fuga en las direcciones postales de la corporación turca ASELSAN A.Ş, que produce estaciones de radio militares tácticas y sistemas de defensa electrónica para las fuerzas armadas turcas. Anastasia Tikhonova , directora del grupo de investigación de amenazas complejas del Grupo IB, y Nikita Rostovtsev , analista junior del Grupo IB, describieron el curso del ataque contra ASELSAN A.Ş y encontraron un posible miembro de MuddyWater .

Exposición a telegramas

El "drenaje" de los grupos APT iraníes comenzó con el hecho de que alguien Lab Dookhtegan reveló los códigos fuente de seis herramientas APT34 (también conocidas como OilRig y HelixKitten), reveló las direcciones IP y los dominios involucrados en las operaciones, así como datos sobre 66 víctimas de piratas informáticos, entre los cuales Etihad Airways y Emirates National Oil. El Laboratorio Dookhtegan también "filtró" tanto datos sobre las operaciones pasadas del grupo como información sobre empleados del Ministerio de Información y Seguridad Nacional de Irán, que supuestamente están asociados con las operaciones del grupo. OilRig es un grupo APT relacionado con Irán que existe desde 2014 y está dirigido a organizaciones gubernamentales, financieras y militares, así como a compañías de energía y telecomunicaciones en Medio Oriente y China.

Después de la exposición de OilRig, las "ciruelas" continuaron - en darknet y Telegram, apareció información sobre las actividades de otro grupo progubernamental de Irán - MuddyWater. Sin embargo, a diferencia de la primera filtración, esta vez no se publicaron códigos fuente, sino volcados, incluidas capturas de pantalla de códigos fuente, servidores de control, así como direcciones IP de víctimas de piratas informáticos anteriores. Esta vez, los hackers de Green Leakers se responsabilizaron por la fuga de MuddyWater. Poseen varios canales de Telegram y sitios darknet donde anuncian y venden datos relacionados con las operaciones de MuddyWater.

Cyberspies con Medio Oriente

MuddyWater es un grupo que ha estado operando desde 2017 en países de Medio Oriente. Por ejemplo, como señalan los expertos del Grupo IB, entre febrero y abril de 2019, los piratas informáticos realizaron una serie de correos de phishing dirigidos a empresas gubernamentales, educativas, financieras, de telecomunicaciones y de defensa en Turquía, Irán, Afganistán, Irak y Azerbaiyán.

Los miembros del grupo usan una puerta trasera patentada basada en PowerShell, llamada POWERSTATS . El puede:

• recopilar datos sobre cuentas locales y de dominio, servidores de archivos accesibles, dirección IP interna y externa, nombre del sistema operativo y arquitectura;
• realizar la ejecución remota de código;
• descargar y cargar archivos a través de C&C;
• detectar la presencia de programas de depuración utilizados en el análisis de archivos maliciosos;
• deshabilitar el sistema si se encuentran programas de análisis de malware;
• eliminar archivos de unidades locales;
• tomar capturas de pantalla;
• Deshabilite las medidas de protección para los productos de Microsoft Office.

En algún momento, los atacantes cometieron un error y los investigadores de ReaQta lograron obtener la dirección IP final, que se encontraba en Teherán. Considerando los objetivos atacados por el grupo, así como sus tareas relacionadas con el ciberespionaje, los expertos sugirieron que el grupo representa los intereses del gobierno iraní.

Turquía a punta de pistola

El 10 de abril de 2019, los especialistas del Grupo IB descubrieron una fuga en las direcciones postales de la compañía turca ASELSAN A.Ş, la compañía de electrónica militar más grande de Turquía. Sus productos incluyen radares y equipos electrónicos, electroópticos, aviónica, sistemas no tripulados, sistemas terrestres, navales y de armas, así como sistemas de defensa aérea.

Al estudiar una de las nuevas muestras del malware POWERSTATS, los expertos del Grupo IB descubrieron que el grupo de atacantes MuddyWater utilizó un acuerdo de licencia entre Koç Savunma, una empresa que fabrica soluciones de tecnología de información y defensa, y Tubitak Bilgem, un centro de investigación y seguridad de la información, como documento señuelo. tecnología avanzada El punto de contacto de Koh Savunma fue Tahir Taner Tımış, quien se desempeñó como Gerente de Programas en Koç Bilgi ve Savunma Teknolojileri A.Ş. de septiembre de 2013 a diciembre de 2018. Más tarde comenzó a trabajar en ASELSAN A.Ş.


Después de que el usuario active macros maliciosas, la puerta trasera POWERSTATS se descarga en la computadora de la víctima.

Gracias a los metadatos de este documento de cebo (MD5: 0638adf8fb4095d60fbef190a759aa9e ), los investigadores pudieron encontrar tres muestras adicionales que contenían valores idénticos, incluida la fecha y hora de creación, nombre de usuario y una lista de macros contenida:

• ListOfHackedEmails.doc ( eed599981c097944fa143e7d7f7e17b1 )
• asd.doc ( 21aebece73549b3c4355a6060df410e9 )
• Especificaciones- F35.doc ( 5c6148619abb10bb3789dcfb32f759a6 )

Uno de los documentos encontrados llamado ListOfHackedEmails.doc contiene una lista de 34 direcciones de correo electrónico que pertenecen al dominio @ aselsan.com.tr .

Los especialistas del Grupo IB verificaron las direcciones de correo en busca de fugas que son de dominio público y descubrieron que 28 de ellas estaban comprometidas en fugas descubiertas previamente. La comprobación de la combinación de fugas disponibles reveló unos 400 inicios de sesión únicos asociados con este dominio, y contraseñas para ellos. Los atacantes pueden haber utilizado estos datos de acceso abierto para atacar ASELSAN A.Ş.




Entre las muestras encontradas también había un documento llamado F35-Especificaciones.doc , que se refería al caza F-35. El documento de cebo es una especificación de los cazabombarderos multifuncionales F-35, que indica las características y el precio de la aeronave. El tema de este documento de cebo está directamente relacionado con la negativa de Estados Unidos a suministrar el F-35 después de la compra de los sistemas S-400 por parte de Turquía y la amenaza de que Rusia transmita información sobre el F-35 Lightning II.

Todos los datos obtenidos indicaron que el objetivo principal de los ciberataques de MuddyWater eran las organizaciones ubicadas en Turquía.

¿Quiénes son Gladiyator_CRK y Nima Nikjoo?

Anteriormente, en marzo de 2019, se descubrieron documentos maliciosos creados por un usuario de Windows bajo el apodo Gladiyator_CRK. Estos documentos también distribuyeron la puerta trasera POWERSTATS y se conectaron al servidor C&C con el nombre similar gladiyator [.] Tk .

Quizás esto se hizo después de que Nima Nikjoo publicara una publicación en Twitter el 14 de marzo de 2019, en la que intenta decodificar el código ofuscado asociado con MuddyWater. En los comentarios sobre este tweet, el investigador dijo que no podía compartir indicadores de compromiso de este programa malicioso, ya que esta información es confidencial. Desafortunadamente, el registro ya se ha eliminado, pero sus rastros permanecieron en la red:



Nima Nikjoo es la propietaria del perfil Gladiyator_CRK en los sitios de alojamiento de videos iraníes dideo.ir y videoi.ir. En este sitio, demuestra las vulnerabilidades de PoC para deshabilitar las herramientas antivirus de varios proveedores y evitar los entornos limitados. Nima Nikjoo se escribe a sí mismo que es especialista en seguridad de redes, así como ingeniero inverso y analista de malware que trabaja para MTN Irancell, una compañía de telecomunicaciones iraní.

Captura de pantalla de videos guardados en los resultados de búsqueda de Google:



Más tarde, el 19 de marzo de 2019, el usuario Nima Nikjoo en la red social Twitter cambió su apodo a Malware Fighter, y también eliminó las publicaciones y comentarios relacionados. El perfil Gladiyator_CRK en el video que aloja dideo.ir también se eliminó, como en YouTube, y el perfil en sí se cambió a N Tabrizi. Sin embargo, después de casi un mes (16 de abril de 2019), la cuenta de Twitter nuevamente comenzó a usar el nombre Nima Nikjoo.

En el curso del estudio, los expertos del Grupo IB descubrieron que Nima Nikjoo ya había sido mencionada en relación con el delito cibernético. En agosto de 2014, el blog de Iran Khabarestan publicó información sobre individuos afiliados al grupo cibercriminal del Instituto Iraní Nasr. Un estudio de FireEye dijo que el Instituto Nasr era un contratista para APT33 y también participó en ataques DDoS contra bancos estadounidenses entre 2011 y 2013 como parte de una campaña llamada Operación Ababil.

Entonces, el mismo blog mencionó a Nima Nikju-Nikjoo, quien estuvo involucrada en el desarrollo de malware para espiar a los iraníes, y su dirección de correo electrónico: gladiyator_cracker @ yahoo [.] Com.

Captura de pantalla de datos relacionados con cibercriminales del Instituto Nasr iraní:


Traducción de lo destacado al ruso: Nima Nikio - Desarrollador de Spyware - Dirección de correo electrónico :.

Como puede ver en esta información, la dirección de correo electrónico está asociada con la dirección utilizada en los ataques y los usuarios de Gladiyator_CRK y Nima Nikjoo.

Además, un artículo fechado el 15 de junio de 2017 declaró que Nikjoo resultó ser un tanto descuidado al publicar enlaces a Kavosh Security Center en su currículum. Se cree que el Centro de Seguridad de Kavosh cuenta con el apoyo del estado iraní para financiar hackers progubernamentales.

Información sobre la empresa para la que trabajó Nima Nikjoo:


En el perfil de un usuario en LinkedIn, Nima Nikjoo, un usuario de Twitter, identificó el Centro de Seguridad de Kavosh como su primer trabajo, donde trabajó de 2006 a 2014. Durante su trabajo, estudió varios programas maliciosos, y también se ocupó de la inversión y el trabajo relacionado con la ofuscación.

Información sobre la empresa para la que trabajó Nima Nikjoo en LinkedIn:

Agua fangosa y alta autoestima

Es curioso que el grupo MuddyWater supervise cuidadosamente todos los informes e informes de expertos en seguridad de la información publicados sobre ellos, e incluso dejó especialmente banderas falsas primero para sacar a los investigadores del camino. Por ejemplo, sus primeros ataques engañaron a los expertos porque descubrieron el uso de DNS Messenger, que generalmente estaba asociado con el grupo FIN7. En otros ataques, insertaron cadenas en chino en el código.

Además, al grupo le gusta mucho dejar mensajes a los investigadores. Por ejemplo, no les gustó el hecho de que Kaspersky Lab en su clasificación de amenazas para el año colocó a MuddyWater en el tercer lugar. En ese mismo momento, alguien, presumiblemente el grupo MuddyWater, subió un exploit a YouTube que desactivó el antivirus LK en YouTube. Dejaron un comentario debajo del artículo.

Capturas de pantalla del video sobre la desactivación del antivirus Kaspersky Lab y el comentario debajo:



Todavía es difícil llegar a una conclusión inequívoca sobre la participación de Nima Nikjoo. Los expertos del Grupo IB están considerando dos versiones. Nima Nikjoo, de hecho, puede ser un hacker del grupo MuddyWater, quien se presentó debido a su descuido y al aumento de la actividad en la red. La segunda opción: fue especialmente "destacada" por otros miembros del grupo para evitar sospechas. En cualquier caso, Group-IB continúa su investigación y ciertamente informará sobre sus resultados.

En cuanto a los APT iraníes, después de una serie de fugas y desagües, es probable que enfrenten un "debate" serio: los piratas informáticos se verán obligados a cambiar seriamente sus herramientas, limpiar las pistas y encontrar posibles topos en sus filas. Los expertos no descartaron que incluso tomarían un tiempo de espera, pero después de un breve descanso, los ataques de las APT iraníes continuaron nuevamente.

Group-IB sabe todo sobre el cibercrimen, pero cuenta las cosas más interesantes.

El canal Telegram lleno de acción (https://t.me/Group_IB) sobre seguridad de la información, piratas informáticos y ataques cibernéticos, piratas informáticos y piratas de Internet. Investigaciones del cibercrimen sensacional por pasos, casos prácticos utilizando tecnologías del Grupo IB y, por supuesto, recomendaciones sobre cómo evitar convertirse en una víctima en Internet.

Grupo-IB Photowire en Instagram www.instagram.com/group_ib
Noticias breves de Twitter twitter.com/GroupIB

Group-IB es uno de los desarrolladores líderes de soluciones para detectar y prevenir ataques cibernéticos, detectar fraudes y proteger la propiedad intelectual en una red con sede en Singapur.